En la era actual, el mundo se encuentra en una constante evolución hacia la digitalización y la interconexión. Este fenómeno se refleja en la creciente dependencia organizacional de la tecnología de la información (TI), abarcando aplicaciones, infraestructura, procesos y personal, en empresas de diversas dimensiones y niveles de complejidad. Las organizaciones han ido confiando cada vez más en la TI para gestionar tanto sus operaciones internas como las relaciones con proveedores de servicios externos. En este contexto, los auditores enfrentan responsabilidades que giran en torno al entorno de TI de sus clientes y los controles generales de TI asociados.
Para abordar estas tareas, los auditores disponen de la norma internacional de auditoría 315, que se centra en la identificación y evaluación de riesgos de inexactitudes materiales. Esta norma ha sido revisada y enriquecida con material específico sobre la consideración de la TI por parte del auditor y su impacto en el proceso de auditoría. Además, esta versión actualizada aclara las responsabilidades del auditor respecto a los controles generales de TI (GITC por sus siglas en inglés). Entre las modificaciones más destacadas relacionadas con la TI, se encuentran aspectos como la comprensión requerida por el auditor acerca del sistema de información y los elementos relacionados con la comunicación y el control.
El componente esencial del sistema de información y comunicación es clave en este contexto. El auditor debe poseer un amplio entendimiento del sistema de información que la entidad utiliza para la elaboración de sus estados financieros. Esto engloba el entorno de TI necesario para procesar transacciones y flujos de datos que culminan en la información financiera. Comprender la relevancia de este sistema es crucial debido a los riesgos que surgen del uso de aplicaciones de TI y otros aspectos del entorno. Además, entender cómo se integran y utilizan las tecnologías de la información en el modelo de negocio de la entidad proporciona un marco valioso para evaluar la dependencia de la TI en el sistema de información. Esto implica identificar y comprender las aplicaciones de TI específicas y otros elementos del entorno pertinentes para los flujos de transacciones y el procesamiento de información.
La NIA 315 revisada establece que el auditor debe identificar las aplicaciones de TI y otros elementos del entorno que enfrentan riesgos derivados de su uso. Los controles pertinentes, que se enfocan en la integridad de la información a través de controles de procesamiento, también deben ser identificados. El auditor debe evaluar si estos controles están diseñados de manera efectiva para respaldar a otros controles y debe informar sobre su implementación. En caso de hallar deficiencias en los controles, el auditor debe considerar cómo afectarían al diseño de procedimientos de auditoría adicionales, siguiendo las directrices de la NIA 330.
Evaluar la efectividad operativa de los controles es una parte fundamental de la identificación y evaluación de riesgos y de la creación de respuestas adecuadas. En casos en los que el auditor confía en la efectividad operativa de los controles, especialmente aquellos relacionados con los GITC, debe someterlos a pruebas. En situaciones donde el cliente depende ampliamente de aplicaciones de TI, las pruebas sustantivas por sí solas podrían no ser suficientes para obtener evidencia de auditoría adecuada. En estos escenarios, el auditor deberá probar la efectividad operativa de los GITC identificados.
En el proceso de planificación del compromiso, el equipo de auditoría debe abordar varios temas. Esto incluye identificar los riesgos asociados con la TI, determinar si un enfoque sustantivo basado en los riesgos derivados de la TI es apropiado, identificar los GITC pertinentes y evaluar la necesidad de probar su efectividad operativa, así como la extensión de las pruebas requeridas para evaluar dicha efectividad. Además, se debe considerar el impacto de controles de TI inadecuados en el diseño y funcionamiento de los procedimientos de auditoría. La comprensión detallada de los procesos de TI, incluyendo los GITC, variará según las características específicas de la entidad y su entorno. La revisión de los controles de procesamiento de información permitirá determinar si se necesita experiencia adicional en TI dentro del equipo de auditoría.
La norma NIA 315 revisada se complementa con varios apéndices que brindan orientación adicional. Los anexos 5 y 6 son particularmente útiles para abordar riesgos derivados del uso de TI. El anexo 5 ofrece ejemplos de características de entornos de TI, lo cual facilita la evaluación de la complejidad del entorno. Asimismo, trata sobre la integración de la TI en los componentes del control interno de la entidad y la identificación de aplicaciones de TI con riesgos asociados. El anexo 6 presenta una tabla de ejemplos de GITC y riesgos derivados del uso de TI, específicamente para diferentes aplicaciones de TI según su naturaleza. Este anexo, titulado “Consideraciones para el conocimiento de los controles generales de TI”, proporciona puntos adicionales a tener en cuenta al evaluar los GITC.
En conclusion, el estudio y comprensión de las normas de auditoría relacionadas con la tecnología de la información puede mejorar significativamente el desempeño de los auditores. Por lo tanto, se recomienda encarecidamente analizar y aplicar estas pautas para enfrentar eficazmente los desafíos de la auditoría en la era digital.